Je me permets d'écrire un petit post après la publication du dernier article par <a href="http://ivanlef0u.tuxfamily.org/">mon jedi</a> ; il concerne l'analyse d'un driver tout droit venu de l'orient.<br />En effet, <a href="http://hi.baidu.com/sudami">sudami</a> et son blog avait déjà interpellé notre ami Ivan, il contenait les sources d'un rootkit kerneland assez puissant d'après ce que les sources inspiraient.<br /><br />Cette fois-ci il s'agit d'un PoC concernant une technique de DKOM afin de rendre un processus interminable ; du jamais vu pour ma part.<br />C'est pour cela qu'en dévorant ce jolie article, je me suis empressé de coder un PoC.<br /><br />J'ai donc remarquer que lorsque le PoC était "complet", autrement dit toutes les modifications au niveau des structures étaient effectuées le processus était "inerte".<br />Interminable certes, mais un processus qui ne peux plus rien faire c'est assez embêtant, voir presque inutile (apart pour embeter la victime avec une fenêtre en plein milieu de l'écran..un peu à la sudami :)).<br />Celui-ci est disponible en fin de page bien évidemment.<br /><br />Cependant, le fait que le processus était larvaire après avoir appliqué les manipulations de structures kernel, ivan me proposa de jouer en désactivant quelques "protections" afin d'obtenir un processus assez difficile à tuer mais un processus actif, une technique bien utile vous pouvez me croire dans le cadre d'un quelconque malware.<br />Pour moi l'implentation plus ou moins idéal reste de modifier le champ <span style="font-weight: bold;">KernelApcDisable </span>à l'offset 0x0d4 de la structure <span style="font-weight: bold;">ETHREAD</span>.<br />Concernant de plus amples explications concernant ces APCs kernel je vous suggère une petite lecture de <a href="http://www.ivanlef0u.tuxfamily.org/?p=136">l'analyse d'ivan</a>.<br /><br />Concernant l'activité que je peux avoir sur mon blog ces temps-ci, autrement dit, une activité assez limitée dirons nous, celle-ci est due à mon engagement dans divers projets qui verront leurs concrétisations dans quelques temps (avant la rentré j'esepère) <span style="font-weight: bold;">wait and see</span> .<br /><span style="font-weight: bold;"><span style="font-weight: bold;"></span><br /></span>Sinan en attendant je vous conseil quelques liens :<br /><br />- #carib0u@irc.worldnet.net déjà :p.<br />- <a href="http://joe-is-a-rocknroll-star.blogspot.com/">http://joe-is-a-rocknroll-star.blogspot.com/</a> -> une personne que j'apprécie beaucoup, des écrits clair toussa, continue :).<br />- <a href="http://md5.sh4ka.fr/">http://md5.sh4ka.fr/</a> -> un service de très grande qualité codé par un très bon ami concernant la recherche de plaintext <a href="http://fr.wikipedia.org/wiki/MD5">MD5</a> ; celui-ci possède en plus d'opérer à des recherches sur de multiples sites du même genre une base de donnée plutôt bien garnis et qui ne cesse de s'aggrandir !<br />- <a href="http://www.rootkit.com/">http://www.rootkit.com/</a> -> Faut peut-être pas l'oublier :).<br /><br /><br />Les PoCs :<br /><br />- <a href="http://overclok.free.fr/Codes/SudamiKillMe/sudamiKillMe.htm">SudamiKillMe.c.</a><br />- <a href="http://overclok.free.fr/Codes/SudamiKillMe/sudamiKillMe_ideal.htm">SudamiKillMe Idéal (?).c</a>.<br /><br /><br />Voilà pour les nouvelles, si vous trouvez mieux concernant cette technique je suis tout à fait preneur sur ce bonne soirée.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/5190877782491799334-8177908766882751048?l=0vercl0k.blogspot.com'/></div>